偽ウイルス対策ソフトの感染経路

ユーザーに偽のウイルス対策やスパイウェア対策ソフトの購入を迫るスケアウェアには、様々な種類があります。特筆すべき傾向として、偽の警告メッセージ(FakeAlert)による犯罪モデルが、ただ単に恐怖を煽るものから、詐欺目的で各種ITリソースを掌握し続ける形態に変わりつつあることがあげられます。今回はその一例として、「System Security 2009」と称する偽ウイルス対策ソフトを取り上げ、一連の感染経路を観察してみます。

「System Security 2009」は、「FakeAlert-CO」として検出されます。過去に現れた同系統の亜種には、「FakeAlert-SystemSecurity」として検出されるものもあります。 これまで確認されているほとんどの偽セキュリティソフトと同様に、FakeAlert-COは嘘の警告を表示して「PCがマルウェアに感染した」とユーザーを騙し、「修復」に必要な代金を支払うよう求めてきます。FakeAlert-COはRansom-Fの流れをくむマルウェアで、スケアウェアによく見られる機能をFakeAlert-COも有しています。

パソコンに入り込んだFakeAlert-COは、実行中の全ユーザープロセスを止めるか、もしくはユーザーに再起動を促します。

そしていずれの場合も、FakeAlert-COはプロセス停止後および再起動後に、パソコン内を検査するふりをして、脅威を見つけたという偽の報告で警告を行います。

FakeAlert-COはこれまでの偽ウイルス対策ソフトとは異なり、プロセスを止めたWindowsの「タスクマネージャ」や「コマンドプロンプト」といったシステム用ツール、またその他オフィスアプリケーションを全て実行不可能にしてしまいます。そして、「実行できないファイルはマルウェアに感染している」という内容のメッセージを表示します。ユーザーが問題を解決するには、FakeAlert-COを有料でアクティベートするしか方法はありません。

FakeAlert-COの「製品紹介」サイトは一見、正規品の商用サイトのようであり、購入するライセンスとして2年間または無期限のいずれかを選ぶことが可能です。また「割引価格」も適用され、30日間の返金保証まで付いてきます。

「最高」のサポートサービスを受けられる製品にはお金を払えるとしても、パソコンを人質に身代金を奪おうとする「製品」など信用できません。

一般的なレベルのユーザーにとって、この「セキュリティ製品」のアンインストールは非常に難しい作業です。そもそもアンインストール機能が用意されておらず、「コントロールパネル」内の「プログラムの追加と削除」も通常の方法では開けなくなってしまうからです。

ただ、受け取った感染ファイルは無傷で、何ら改変はされていませんでした。Windowsをセーフモードで立ち上げることができれば、FakeAlert-COが自動起動することはなく、プロセスを止められたシステム用ツールやアプリケーションは正常に実行できます。 なお、マカフィーのセキュリティ製品はこのソフトを除去できます。

関連記事

関連情報

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速